「KINS」は次なるオンライン銀行詐欺ツール「ZBOT」か

オンライン銀行の Webサイトを対象とする不正プログラムは、ユーザから情報のみならず金銭をも収集するよう設計されているため、当然オンライン銀行を使用する人々にとって不安の一因となっています。従って、一部報道では次なる「ZBOT」と言われている「KINS」が登場し、このKINSが「最強」のオンライン銀行詐欺ツールとしてアンダーグラウンド市場で売買され、オンライン銀行詐欺ツール「ZBOT」がこれまで暗躍してきたように今後注意すべき不正プログラムになるのではないかという懸念が浮上してきたことは驚くべきことではありません。

「TrendLabs(トレンドラボ)」は、解析を続ける中で、「TSPY_ZBOT.THY」および「TSPY_ZBOT.THX」として検出された「KINS」の複数の亜種を入手しました。さらにこの亜種は、まったく「新しい」不正プログラムではないということを確認しました。この亜種は、異なる自動実行型の圧縮ファイル(パッカー)を利用し、デバッグや解析動作に対抗する精巧な機能を備えています。しかし「KINS」が「ZBOT」であることに変わりはありません。同様のフォルダとファイル名を利用し、同じプロセスを追加し、そして同じレジストリ値を追加成するといった動作を行います。

これら「KINS」の亜種は、特に「VMWare」や「VirtualBox」といったいくつかの人気の仮想環境サーバや「Windows emulator(WINE)」内で実行されているかどうかを検索し、それを確認した場合、解析やデバッグの妨害のため自身の動作を停止します。同様にこの不正プログラムは、「Sandboxie」といった他のセキュリティツールを確認した場合も動作を停止します。

「KINS」は、基本的に「ZBOT」と同じ機能を備えています。例えば、「KINS」は、対象の銀行のリストが記載された環境設定ファイルをダウンロードし、セキュリティゾーンを無効化し、Webサイト上からファイルを挿入します。「KINS」は、ユーザが特定の URL にアクセスした際、即時にブラウザへ特定のコードを挿入することによって、ユーザの認証情報といったオンライン銀行の情報を収集します。それらの動作を終えると、不正プログラムは、銀行の認証情報や、社会保障番号といったさらなる情報の入力を促す正規のものに似せた偽のポップアップを表示します。

古くも効果的な脅威が再浮上するというトレンドマイクロの予測は、2013年8月下旬現在、今年の脅威の全体像において現実のものとなっています。弊社の「2013年第 2四半期セキュリティラウンドアップ」の中で、この四半期におけるオンライン銀行関連の不正プログラムの増加について記述しました。特に、この一年取り上げていなかった「ZBOT」の亜種について述べられています。

「KINS」の登場でも見られるように、サイバー犯罪者たちは、不正プログラム対策による検出を回避する手法とともに、従来の脅威を改良する試みを継続的に企てています。さらに、「KINS」がこの種の最後の不正プログラムにはならないということも予測できます。「SpyEye」や「Ice IX」といった著名な攻撃ツールキットは、現在無料で利用可能であり、また「漏えい」した「CARBERP」のソースコードも簡単に入手ができます。犯罪者たちにとっては、これら不正プログラムの自作版を制作、配布するのが容易な状況にあります。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Webサイトへのアクセスをブロックします。また、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

参考記事:

  • Can KINS Be The Next ZeuS?
    by Gelo Abendan (Technical Communications)
  •  翻訳:木内 牧(Core Technology Marketing, TrendLabs)